Olympus專案是微軟的超大型云端硬件設(shè)計(jì),屬於開源硬件開發(fā)的新模式,就像開源碼軟件的分支一樣,它同樣允許開發(fā)人員根據(jù)需求變更其硬件設(shè)計(jì)。目前Olympus專案已完成硬件設(shè)計(jì)并藉由OCP開源,同時(shí)也已部署在Azure上的Fv2虛擬機(jī)器家族,是Azure上首個產(chǎn)品化的Olympus專案設(shè)計(jì)。
至於Cerberus專案即是Olympus專案的下一步。若說Olympus專案是個開源的硬件專案,那麼Cerberus就是個開源的韌體安全專案。
Azure硬件架構(gòu)總經(jīng)理Kushagra Vaid指出,伺服器硬件一直缺乏資料的安全保護(hù),而Cerberus即是個用來保護(hù)、偵測與恢復(fù)針對韌體攻擊的專案,當(dāng)人們於云端處理資料時(shí),得以信賴它們是在采用安全韌體的硬件上執(zhí)行。
Cerberus專案符合NIST 800-193《平臺韌體防災(zāi)準(zhǔn)則》的草案規(guī)范,它針對主機(jī)板與輸入/輸出設(shè)備上的各種韌體提供一個硬件可信任架構(gòu),自硬件預(yù)先啟動到運(yùn)作之間執(zhí)行嚴(yán)格的存取控制與完整性驗(yàn)證,將得以防范擁有管理權(quán)限的內(nèi)賊,也能杜絕開采作業(yè)系統(tǒng)、應(yīng)用程式或hypervisor漏洞的惡意程式與駭客,預(yù)防韌體遭到竄改,或是來自供應(yīng)鏈的攻擊。
Cerberus專案含有一個執(zhí)行安全程式碼的加密微控制器,它能監(jiān)聽自主機(jī)經(jīng)由SPI bus(存有韌體)到Flash裝置的存取,因此能持續(xù)藉由衡量與驗(yàn)證這些存取來確保韌體的完整性,以防范未經(jīng)授權(quán)的存取或惡意更新。
由於該專案的規(guī)格并未鎖定任何CPU或I/O架構(gòu),因此適用范圍極廣,規(guī)?蓮拇笮偷馁Y料中心到小型的IoT裝置,其平臺安全性亦可延伸到所有基於同樣架構(gòu)原則的I/O設(shè)備。
微軟亦與Intel合作以探索平臺韌體安全性的最佳導(dǎo)入模式,亦計(jì)劃將Cerberus專案貢獻(xiàn)給OCP。目前Cerberus專案的規(guī)格草案僅涵蓋主機(jī)板上的韌體,如UEFI BIOS、BMC與Options ROMs,未來將與社群合作將該規(guī)格延伸到各種I/O元件,包括傳統(tǒng)硬碟、固態(tài)硬碟、網(wǎng)絡(luò)卡、可程式邏輯裝置(FPGA)或GPU等。
